- Banking Trojan có tên là Mispadu (hay còn gọi là URSA) được sử dụng trong nhiều chiến dịch thư rác nhằm mục tiêu vào những quốc gia như Bolivia, Chile, Mexico, Peru và Bồ Đào Nha đánh cắp thông tin đăng nhập và phát tán các phần mềm mã độc khác.

Hoạt động này bắt đầu từ tháng 08/2022 và vẫn tiếp tục diễn ra cho đến tháng 03/2023. Các nhà nghiên cứu cho biết, kể từ tháng 11/2019, Mispadu (URSA) bắt đầu thực hiện hành vi đánh cắp tiền và thông tin đăng nhập, đồng thời hoạt động như một backdoor bằng cách chụp ảnh màn hình và ghi lại các lần nhấn phím.

Các cuộc tấn công thường xâm nhập vào các trang web hợp pháp và tìm kiếm, các phiên bản WordPress có chứ lỗ hổng, sau đó biến chúng thành máy chủ để phát tán, lây nhiễm các loại mã độc.

Mispadu cũng có những điểm tương đồng với các banking trojan khác như Grandoreiro, Javali, và Lampion. Các cuộc tấn công liên quan đến mã độc Delphi sử dụng email thông báo hóa đơn quá hạn giả nhằm điều hướng người dùng mở chúng, từ đó kích hoạt quá trình lây nhiễm mã độc.

Khi người dùng mở tệp đính kèm HTML được gửi kèm qua email spam, việc xác minh tệp đã mở trên máy tính sẽ được thực hiện và chuyển hướng đến máy chủ từ xa để tải xuống phần mềm độc hại trong giai đoạn đầu của chuỗi lây nhiễm. Khi được khởi chạy, tệp RAR hoặc ZIP độc hại sử dụng các chứng chỉ số giả mạo - một là mã độc Mispadu và còn lại là công cụ AutoIT - để giải mã và thực thi trojan bằng cách lạm dụng tiện ích dòng lệnh hợp pháp certutil.

Ngoài ra, Mispadu được trang bị để thu thập danh sách các phần mềm chống vi-rút được cài đặt trên máy chủ bị xâm nhập, thu nhập thông tin đăng nhập từ Google Chrome và Microsoft Outlook, đồng thời tạo điều kiện để tải các phần mềm độc hại bổ sung, bao gồm một dropper Visual Basic Script.

Dropper được thiết kế để tải xuống một công cụ truy cập từ xa cho phép thực thi các lệnh từ máy chủ do đối tượng tấn công kiểm soát và một công cụ tải (loader) được viết bằng Rust, có khả năng thực thi tệp trực tiếp từ bộ nhớ.

Bên cạnh đó, mã độc còn sử dụng các “giao diện vô hình” (overlay screen) độc hại để đánh cắp thông tin đăng nhập liên quan đến tài khoản ngân hàng điện tử và các thông tin nhạy cảm khác.

Phương pháp certutil đã cho phép Mispadu vượt qua sự phát hiện của nhiều phần mềm bảo mật và thu thập hơn 90.000 thông tin xác thực tài khoản ngân hàng từ 17.500 trang web.

Để tránh trở thành nạn nhân của các cuộc tấn công mạng, người dùng nên kiểm tra cẩn thận trước khi mở email từ các nguồn lạ, không nhấp vào các liên kết lạ được đính kèm trong email và không tải xuống tệp từ những nguồn không đáng tin cậy, đồng thời bật phần mềm phòng chống mã độc trên thiết bị của mình để kịp thời phát hiện và ngăn chặn các cuộc tấn công.

PV